Erik Halthen ADI公司

理解工業(yè)控制系統(tǒng)的網絡安全
工業(yè)控制系統(tǒng)(ICS)中的網絡安全問題勢必延緩工業(yè)4.0的采用。許多企業(yè)領導者發(fā)現ICS網絡安全挑戰(zhàn)非常難以理解，因為眾多因素導致其非常復雜。此外，開發(fā)工業(yè)控制系統(tǒng)解決方案的工程師可能尚未看到在設備層面的重大網絡安全要求。保障工業(yè)控制系統(tǒng)安全的傳統(tǒng)方法依賴于限制對網絡和設備的訪問，并通過信息技術(IT)解決方案監(jiān)控網絡流量。

在工廠中使用設備的產品負責人會發(fā)現如果將網絡安全問題視為IT問題，就很容易解決。然而，隨著工業(yè)4.0的出現，傳統(tǒng)方法將不再足以保障工業(yè)控制系統(tǒng)的安全。如果公司沒有應對終端設備安全問題的策略，ICS網絡安全面臨的挑戰(zhàn)最終將延緩工業(yè)4.0的采用。為了采用并充分利用工業(yè)4.0，網絡安全必將成為企業(yè)規(guī)劃的關鍵部分。ADI公司認識到工業(yè)4.0為市場帶來的挑戰(zhàn)。盡管工業(yè)市場歷來變化緩慢，但工業(yè)4.0的采用卻以創(chuàng)紀錄的速度大大超出了預
期。伴隨著這些變化，網絡安全正成為采用工業(yè)4.0最具挑戰(zhàn)性的障礙之一。ICS網絡安全標準和準則已經付諸實施或正在建立中，以確保工廠的安全，但它們沒有提供有關如何加速工業(yè)4.0計劃的指導。我們的使命是通過擴展安全終端并使其更易于實施安全性，使我們的客戶能夠更快速地采用工業(yè)4.0解決方案。

工業(yè)4.0正在改變工業(yè)控制系統(tǒng)的網絡安全

工業(yè)4.0正在改變ICS網絡安全問題是有原因的。工業(yè)4.0的本質是增加對工廠中設備控制的訪問權限和可訪問性。這意味著對數據的訪問權限增加以擴大透明度，減少網絡規(guī)劃，縮減資本支出，降低運營支出，提高帶寬并優(yōu)化機器互通。增加對控制的訪問權限和可訪問性意味著工廠系統(tǒng)的網絡安全風險評估正在發(fā)生變化。ICS網絡安全解決方案需要適應不斷變化的風險，而傳統(tǒng)實施于系統(tǒng)的防范措施（例如設置防火墻和將設備置于閉鎖門之后）與工業(yè)4.0的目標相背。這意味著需要對設備進行安全加固，以便在確保安全的方法中實現更多功能。為了實現可信數據和安全操作，身份和完整性將成為此領域中每個設備的核心。

工業(yè)市場中有許多不同的標準，為工業(yè)控制系統(tǒng)安全性的實施提供指導。例如，NIST為美國管理的市場提供安全指導。IEC 62443是針對歐洲管理的國際市場的安全標準草案。這是兩個最主要的標準，為工業(yè)控制系統(tǒng)安全性的實施和安全狀況評估提供了有用的準則；但是，它們并沒有就如何加速工業(yè)4.0的采用提供指導。IEC 62443目前沒有提供有關在PLC下實施安全性的任何準則，最近成立的ISA99工作組旨在解決IEC 62443框架內工廠底層的網絡安全問題。當前，為了實現系統(tǒng)可接受的安全狀態(tài)，必須在未達到足夠安全級別的設備上實施防范措施。這些防范措施通常依賴于諸如防火墻之類的方法來限制訪問，并切斷或隔離易受攻擊的設備。將來，設備需要達到更高的安全級別才能實現向工業(yè)4.0的過渡。

ADI公司：擴展工業(yè)控制系統(tǒng)的網絡安全終端

ADI公司在擴展安全終端方面擁有獨特的優(yōu)勢。我們的傳統(tǒng)市場空間位于物理終端，即將現實世界轉換為數字信號并生成數據的地方。這使我們有機會通過在信號鏈中更早地提供身份和完整性來建立可信數據，并構建安全終端的全新定義。傳統(tǒng)上，安全終端始于工業(yè)控制系統(tǒng)安全框架中的網關、PLC乃至服務器。

這種觀點讓人聯想到工廠的傳統(tǒng)IT網絡安全觀點，而它仍然存在于整個工業(yè)領域中。在信號鏈中將安全終端進一步向下擴展，其前景非常有吸引力，因為這使得基于該數據的決策具有更高的可信度。在信號鏈中越早建立身份和完整性，就可以在驅動決策的數據中建立更高的信任和可信度。

ICS網絡安全無法以一體適用的解決方案來應對，必須采用深入的防御方法并根據系統(tǒng)的風險評估加以應用。隨著以太網應用于終端，ADI公司的策略是擴展ICS網絡安全的深度。實現工業(yè)4.0需要工廠采用新的連接方法。這意味著以太網已經并將繼續(xù)在工業(yè)控制系統(tǒng)中發(fā)揮更大的作用。ADI公司的安全策略是關注以太網連接的位置，因為這會顯著改變網絡中任何一臺設備對系統(tǒng)的影響。我們當前的工業(yè)以太網解決方案和TSN解決方案系列一直是公司安全開發(fā)的重點。近期，可提供雙端口、多協(xié)議連接的fido5000 RapID?平臺將能夠實現多項安全功能，包括提供密鑰生成/管理、安全啟動、安全更新和安全存儲器訪問，從而防止網絡綁定攻擊。此產品系列路線圖包括單芯片解決方案，該方案具有硬件可信根、安全設備生命周期管理、安全通信/相互身份驗證和防篡改保護。隨著工業(yè)領域不斷采用智能化程度更高的傳感器，工廠連接將越來越向下擴展，從而推動了設備層面額外的安全需求。ADI公司致力于開發(fā)安全產品組合，以便使ICS安全解決方案的采用更加輕松，并在終端建立信任，以便加速工業(yè)4.0的采用。

作者簡介

Erik Halthen作為Sypris Electronics（2016年被ADI收購）的一員，在網絡安全解決方案方面擁有豐富的背景知識。Erik就職于ADI網絡安全卓越中心，擔任工業(yè)解決方案的安全系統(tǒng)經理。Erik充分利用自己擔任防務行業(yè)網絡安全項目經理時積累的經驗，重點開發(fā)能夠滿足工業(yè)物聯網的關鍵市場需求的領先安全解決方案。聯系方式：erik.halthen@analog.com 。